Сетевые экраны: типы сетевых экранов разных уровней, реализация, архитектура

Введение
В настоящее время развитие информационных технологий происходит стремительными темпами. Еще несколько десятилетий назад техническим новшеством считался сам доступ в Интернет, но уже сегодня услуги мобильного интернета являются обыденностью с точки зрения потребителя или пользователя.
С ростом числа потребителей услуги растет и число ее поставщиков. Операторы связи предлагают пользователю все более надежные и высокоскоростные каналы связи для пользования все более новыми сервисами. Все это стимулирует развитие новых стандартов и протоколов, а значит новых технологий. Стоит отметить, что для получения услуги необходимо наличие таких компонент, как: канал связи, сервер услуги и клиент услуги. Канал связи – это совокупность оборудования и среды передачи данных, которые необходимы для доставки информации от источника информации к приемнику информации. Сервер – это программно – аппаратный комплекс, который обеспечивает размещение информации и предоставляет к ней доступ. Клиент – это программно – аппаратный комплекс, который обеспечивает получение информацию с сервера. Объединение множества клиентов и серверов, связанные по всему Миру каналами связи, образуют единую сеть Интернет.
Все вышеперечисленные элементы являются компонентами инфокоммуникационной структуры. Для ее защиты от атак нарушителя применяются межсетевые экраны.
В рамках настоящей работы будет рассмотрен вопрос межсетевых экранов и межсетевого экранирования.
ОСНОВНАЯ ЧАСТЬ
Атаки на телекоммуникационную структуру так же разнообразны, как и системы, против которых они направлены. Некоторые атаки отличаются большой сложностью. Другие может осуществить обычный пользователь, даже не предполагающий, какие последствия может иметь его деятельность. Необходимо рассмотреть телекоммуникационную инфраструктуру с точки зрения связи с внешним миром и защиты от внешних угроз.
Для большего понимания необходимо указать, каким образом размещается персональный компьютер в структуре корпоративной сети предприятия. Он обычно размещается в защищаемой внутренней локальной сети, то есть локальная сеть находится под дополнительной защитой, и есть участок, называемый «демилитаризованная зона», который находится в таком сегменте сети, в который могут получить доступ любые пользователи сети «Интернет».
Рисунок 1. Схема организации сети предприятия с одним межсетевым экраном
Цель демилитаризованной зоны — добавить дополнительный уровень безопасности в сетевую инфраструктуру предприятия, позволяющий минимизировать ущерб в случае атаки. На Рисунке 1 представлена схема организации сети предприятия с одним межсетевым экраном.
Как представлено на Рисунке 1, для создания сети с демилитаризованной зоной может быть использован один межсетевой экран, имеющий минимум три сетевых интерфейса: один — для соединения с сетью провайдера услуги, второй — с внутренней сетью, третий — с демилитаризованным сегментом

. Подобная схема проста в реализации, однако предъявляет повышенные требования к оборудованию и администрированию: межсетевой экран должен обрабатывать весь трафик, идущий как в демилитаризованную зону, так и во внутреннюю сеть. При этом он становится единой точкой отказа.
Более безопасным является подход, когда для создания демилитаризованной зоны используются два межсетевых экрана: один из них контролирует соединения из внешней сети в демилитаризованную зону, второй — из демилитаризованной зоны во внутреннюю сеть. В таком случае для успешной атаки на внутренние ресурсы должны быть скомпрометированы два устройства. Кроме того, на межсетевом экране 1 можно настроить более слабые правила защиты, обеспечив усиленную защиту локальной сети, настроив межсетевой экран 2.
Недостатком этой архитектуры является более высокая стоимость. Но чаще всего для обеспечения информационной безопасности организации в части, касающейся телекоммуникационной структуры, необходимо выстраивать сложную и многоуровневую систему безопасности без учета ее стоимости. На Рисунке 2 изображена схема организации сети с двумя межсетевыми экранами.
Рисунок 2. Схема организации сети с двумя межсетевыми экранами
В итоге можно сказать, что оборудование, которое находится в пределах демилитаризованной зоны, представляет собой потенциально слабое место с точки зрения безопасности, а персональные компьютеры, находящиеся в локальной сети, имеют более высокий уровень защиты от сетевых атак за счет использования других принципов настройки и дополнительного оборудования. Стоит отметить, что телекоммуникационное оборудование, которое обеспечивает работу локальной сети, так или иначе будет размещено в пределах области, доступной из внешней среды. То есть, объектом атаки может стать маршрутизатор и межсетевой экран, в результате чего будет утрачено подключение к каналу связи.
Данный факт можно считать успешной сетевой атакой, если причина сбоя была вызвана действиями нарушителя, орудующего из внешней сети, так как отсутствие подключения к Интернету нарушает возможность штатной работы, ограничивая функционал персонального компьютера. В рамках проектирования структурированной кабельной системы необходимо предусмотреть установку межсетевого экрана, так как в исследуемой организации отсутствует необходимость создания демилитаризованной зоны.
Межсетевые экраны делятся на аппаратные и программные